Esta página explica o que o PhysioProof faz com dados pessoais. Está escrita para ser lida, não para nos defender. Se algo aqui estiver confuso, é falha nossa — escreva e a gente reescreve.
O resumo em três linhas. O prontuário das pacientes pertence à fisioterapeuta, e nós não o lemos. Medimos o uso do sistema pelas fisioterapeutas (quando entram, por quanto tempo, quantas evoluções registram, de que cidade) para melhorar o produto. Ninguém vende nada seu, para ninguém.
É a distinção que explica todo o resto, então vale gastar dois parágrafos nela.
A fisioterapeuta é nossa usuária. Ela cria conta, usa o sistema, e nós medimos esse uso. Em relação aos dados dela, nós somos os controladores.
A paciente não é nossa usuária: ela é paciente da fisioterapeuta. O prontuário dela pertence à fisioterapeuta, que decide o que registrar e por quanto tempo guardar. Nesse caso, a fisioterapeuta é a controladora e nós somos apenas operadores — guardamos os dados por ela, seguindo as instruções dela, e não fazemos mais nada com eles.
| O quê | Por quê |
|---|---|
| Nome, e-mail, registro profissional, clínica | Para existir a conta e para o paciente saber quem a atende |
| Senha | Guardada com bcrypt. Nem nós conseguimos ler: se você esquecer, não temos como te contar qual era |
| Quando acessa, por quanto tempo, quantas evoluções registra | Para saber o que funciona e o que atrapalha. No beta, isto é o produto |
| IP dos acessos, e a cidade/estado derivados dele | Segurança (investigar acesso indevido a prontuário) e saber onde estão as fisioterapeutas que usam o sistema |
| O que você escreve no feedback | Para consertar e construir o que falta |
Para descobrir a cidade a partir do IP, consultamos o serviço ipwho.is. Cada IP é enviado uma única vez e o resultado fica guardado aqui — o mesmo endereço nunca sai duas vezes. Não guardamos coordenada, endereço nem rua.
Nome, contato, nascimento, queixa, avaliação, evolução de cada sessão, escalas aplicadas, programa de exercícios e pagamentos. Dados de saúde são dados pessoais sensíveis (LGPD, art. 11) e recebem tratamento à altura:
Atendimento em hospital ou ambulatório. Se a fisioterapeuta atende numa instituição, o prontuário oficial daquele atendimento é da instituição, não dela e nem nosso. O que ela guarda aqui é a evolução clínica dela — não substitui o sistema da instituição, e a obrigação de registrar lá continua existindo.
Em servidor no Brasil (região de São Paulo), em banco PostgreSQL gerenciado pela Neon, com a aplicação hospedada na Railway. A escolha da região brasileira é deliberada: evita transferência internacional de dados sensíveis de saúde.
Tudo trafega criptografado (HTTPS/TLS). As sessões usam cookie httpOnly e secure — o que impede que um script leia o seu login.
Com ninguém. Não vendemos dados, não fazemos publicidade, não cedemos base para terceiros. Os únicos terceiros que tocam em qualquer coisa são a infraestrutura de que dependemos para o sistema existir:
| Quem | Para quê |
|---|---|
| Railway | Hospedagem da aplicação |
| Neon | Banco de dados (Brasil) |
| Resend | Envio do e-mail com o link de acesso |
| ipwho.is | Descobrir a cidade a partir do IP (uma vez por IP) |
A LGPD te dá direitos que valem contra nós, e nós os cumprimos sem você precisar pedir por escrito, sem justificar e sem falar com ninguém:
A paciente que quiser exercer qualquer um desses direitos deve procurar a fisioterapeuta dela — é ela a controladora daquele prontuário. Se preferir falar conosco, encaminhamos.
O prontuário deve ser guardado por no mínimo 5 anos após o último atendimento, por exigência profissional (Resolução COFFITO nº 414/2012). Os dados de uso do sistema (acessos, tempo, cidade) são guardados enquanto a conta existir.
Se houver incidente de segurança que possa causar risco relevante, avisaremos os afetados e a ANPD, como manda a lei. Não vamos varrer para debaixo do tapete.
Encarregado pelo tratamento de dados (DPO): Luiz Gustavo Assef Dal Pian — l.gustavo001@gmail.com.
Escreva. Responde uma pessoa, não um formulário.